代码之家  ›  专栏  ›  技术社区  ›  Dr Deo

使用ADS隐藏可执行文件(备用数据流)

ntfs filesystems c c++
  •  3
  • Dr Deo  · 技术社区  · 15 年前

    我听说可以使用ntfs备用数据流来隐藏正在运行的executabe。
    如 支持我在Windows XP上有一个名为hiddenprogram.exe的exe,使用 cmd.exe system(char*) C中的调用, 

    type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe

start c:\windows\system32\svchost.exe:hiddenProgram.exe

    启动svchost,同时hiddenprogram.exe
    但是hiddenprogam.exe不显示在Windows任务管理器中!! 不幸的是,svchost显示为svchost:hiddenprogram

    Qn 如何确保hiddenprogram.exe完全隐藏在任务管理器中。

    2 回复  |  直到 9 年前
        1
  •  2
  •   Brian R. Bondy    15 年前

    在NTFS中,可以有一个或多个与文件关联的流。总是有一个大家都知道的未命名流,但您也可以将其命名为备用数据流(ADS)。

    启动svchost,同时 hiddenprogram.exe文件

    不,它只启动流中包含的程序: svchost:hiddenProgram

    如何确保hiddenprogram.exe完全隐藏在任务管理器中?

    你不容易。所有正在运行的进程都显示在任务管理器中。不过,请参见下面@joveha的评论。

        2
  •  2
  •   MSalters    15 年前

    将病毒作为设备驱动程序实施。设备驱动程序未显示在任务管理器中。

    无可否认,您可能在获得由Microsoft签名的64位版本的病毒时遇到一些问题,而Win64通常需要签名的驱动程序。

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号